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@ Verfahren zum Schutz vor Angr'rffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlussel einer 
Chipkarte 

® Die Erfindung betrifft ein Verfahren zum Schutz vor An- 

griffen auf den Authentifizierungsalgorithmus bzw. den 

Geheimschlussel einer Chipkarte (SIM) in einem Netz- 

werk zur Nachrichtenubertragung, vorzugsweise in ei- 
nem GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 

Algorithmus sowie ein geheimer Schlussel gespeichert 

ist, wo bei zur Authentifizierung zunachst vom Netzwerk 

oder einer Netzwerkkomponente eine Zufallszahl an die 

Chipkarte ubertragen wird, in der Chipkarte mittels des 

Algorithmus, der Zufallszahl und des geheimen Schlus- 

sels ein Antwortsignal erzeugt wird, das an das Netzwerk 

bzw. die Netzwerkkomponente ubermittelt wird, um dort 

die Authentizitat der Karte zu uberprufen. GemaS der Er- 
findung ist ein Zahler zur Aufzeichnung der Anzahl der 

insgesamt mit der Karte durchgefuhrten Authentifikati- 
3 onsvorgange vorgesehen, Es wird weiterhin ein oberer 

Grenzwert fur die Anzahl der insgesamt mit der Karte 
\ durchzufuhrenden Authentifikationsvorgange vorgege- 

ben und bei jeder Authentifikation der Zahler erhoht und 

mit dem vorgegebenen oberen Grenzwert verglichen. 
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Beschreibung Schliissels und bei Bekanntsein des Algorithmic konnen 

wesentliche Funktionselemente der Karte simuliert bzw. du- 

Die Erfindung betrifft ein Verfahren zum Schutz vor An- pliziert werden. 

griffen auf den Aumentifizierangsalgorithmus bzw. den Ge- Es ist deshalb Aufgabe der Erfindung, ein sicheres Ver- 

heimschlusseleinerChipkarte(SIM)ineinemNetzwerkzur 5 fahren zum Schutz vor Angriffen auf den Authentifizie- 

NachrichtenUbertragung, vorzugsweise in einem GSM- rungsalgorithmus bzw. den Geheimschlussel einer Chip- 

Netzwerk, nach dem OberbegrifF des Anspruchs 1 . karte in einem Nachrichtensystem anzugeben, bei dem eine 

Bei GSM-Systemen ist es bekannt, daB sich zum Ge- sichere Ruckmeldung uber die Authentifizierung an die teil- 

brauch der Chipkarte (Subscriber Identity Module SIM) zu- nehmende Chipkarte nicht erfolgt 

nachst der Benutzer mittels einer personlichen Identifi kati- 10 Diese Aufgabe wird gemaB der Erfindung ausgehend von 

onsnummer (PIN) als zur Benutzung berechtigt ausweisen den Merkmalen des Oberbegriffs des Anspruchs 1 durch die 

muB. Urn an dieser Stelle MiBbrauch zu vermeiden, ist es fur kennzeichnenden Merkmale des Anspruchs 1 gelost. 

die PIN-Eingabe bekannt, einen Fehlerzahler vorzusehen, Vorteilhafte Ausgestaltungen der Erfindung sind in den 

der nach "Oberschreiten einer zulassigen Anzahl von Fehl- abhangigen Anspriichen angegeben. 

versuchen den weiteren Gebrauch der Karte unterbindet. 15 GemaB der Erfindung wird vorgeschlagen, die beliebig 

Eine weitere, systemrelevante SicherheitsmaBnahme be- haufige Wiederholung des Identifizierungs vorgangs dadurch 

steht in der Authentisierung der Karte gegenuber dem Mo- zu unterbinden, daB in der Karte oder im Netzwerk ein Zah- 

bilfunknetz. Zu diesem Zweck ist in der Karte eine von au- ler vorgesehen wird, welcher die Anzahl der insgesamt 

Ben nicht zugangliche Geheimnummer und ein ebenfalls durchgefuhrten Authentifizierungsversuche festhalt. Der ak- 

von auBen nicht zuganglicher, gegebenenfalls geheimer Al- 20 tuelle ZShierstand wird bei jeder Authentifizierung mit ei- 

gorithmus abgelegt. Zur Authentifizierung wird vom Netz- nem vorgebbaren oberen Grenzwert verglichen. Durch die 

werk bzw. einer Netzwerkkomponente eine Zufallszahl er- ZShlung der Anzahl der insgesamt durchgefUhrten Authen- 

zeugt, die der Karte mitgeteilt wird. Die Karte berechnet aus tifikationsversuche wird in vorteilhafter Weise zum einen 

dieser Zufallszahl und dem geheimen Schlussel mittels des erreicht, daB die fehlende Ruckmeldung des Authentifizie- 

Algorithmus eine Signalantwort, welche dem Netzwerk mit- 2S rungsergebnisses nicht zwangslaufig in der Nichtanwend- 

geteilt wird. Diese Antwort wird im Netzwerk analysiert barkeit der Vorgabe einer Obergrenze fur die maximal zulas- 

und es wird, bei positivem Ergebnis, Zugang zu den Netz- sige Anzahl der Authentifizierungsversuche endet und zum 

werkfunktionen erlaubt. anderen kann der Zahier, da ein Rucksetzen nicht erlaubt ist, 

Aus der deutschen Patentschrift DE 43 39 460 CI ist ein durch ein unzuiassiges Rucksetzsignal nicht auBer Kraft ge- 

Verfahren zur Authentifizierung eines Systemteils durch ein 30 setzt werden. 

anderes Systemteii eines Informationsubertragungssystems GemaB einer vorteilhaften AusfUhrungsform der Erfin- 

nach dem Challenge and Response-Prinzip bekannt Die dung liegt der vorgegebene obere Grenzwert hoher als die 

dortbeschriebene Datentrageranordnung ist mit einem Wer- geschatzte Anzahl der mit der Karte Ublicherweise auszu- 

tespeicher versehen, dem eine KontroUeinrichtung zugeord- fuhrenden Authentifikationsvorgange. Zur Auslegung der 

net ist. Weiterhin ist ein nicht fluchtiger, begrenzbarer Feh- 35 oberen Grenze ist deshalb jeweils an Hand der SchlQssel- 

lerzahler sowie eine Sperrvorrichtung vorgesehen. Bei dem lange und der sonstigen Randbedingungen eine Risikoab- 

Authentifizierungsverfahren ist die tragbare Datentrageran- schatzung durchzufiihren, wobei bei vertretbarem Risiko die 

ordnung zunachst gesperrt und wird erst nach Verandem des obere Grenze moglichst uber der Anzahl der zu erwartenden 

Fehlerzahlerstandes freigegeben. Von dem Endgerat werden regularen Authentifikationen anzusetzen ist, urn nicht eine 

daraufhin Zufallsdaten zur tragbaren Datentrageranordnung 40 fur den Benutzer unangenehme vorzeitige Sperrung der 

iibertragen. Diese Daten werden sowohl im Endgerat als Karte in Kauf zu nehmen. Die vorgegebene obere Grenze 

auch in der tragbaren Datentrageranordnung durch einen ge- sollte Uberdies unter der zu erwartenden Anzahl der Versu- 

heimen Algorithmus und geheime Schliisseldaten zu Au- che liegen, die notwendig sind, um den geheimen Schlussel 

thentifikationsparametern verarbeitet. Die im Endgerat er- herauszufinden. 

zeugten Authentifikationsparameter werden im weiteren zur 45 Eine weitere vorteilhafte Ausgestaltung der Erfindung 

tragbaren Datentrageranordnung ubermittelt und mit den sieht vor, daB der Zahier in der Chipkarte realisiert ist und 

dort berechneten Authentifikationsparametern verglichen. der Vergleich mit dem oberen Grenzwert in der Chipkarte 

Bei Obereinstimmung wird der Fehlerzahler riickgesetzt. ausgefuhrt wird. Damit kann bei einer Simulation des Net- 

Bei dem bekannten Stand der Technik wird also bei jedem zes durch einen Computer zumindest die Simulation der 

Bearbeitungsvorgang der Fehlerzahler erhoht und bei er- 50 Zahlerstande vermieden werden. 

folgreicher Beendigung des Bearbeitungsverfahrens riickge- Fiir den Fall, daB beispielsweise aufgrund mangelnden 

setzt. Bei Uberschreiten eines vorgegebenen Grenzwertes Speicherplatzes oder sonstiger Umstande eine Realisierung 

fiir die Anzahl der Fehlversuche werden weitere Authentifi- des Zahlers auf der Karte nicht moglich ist, kann die Reali- 

zierungsversuche nicht zugelassen. sierung auch im Netz erfolgen, wobei vorzugsweise die 

Bei der Authentifizierung im GSM-Netz besteht das Pro- 55 Zahlerdaten vor jeder Authentifizierung verschlusselt an die 

blem, daB die Karte nicht uber eine fehlgeschlagene Authen- Karte iibertragen werden. 

tifizierung informiert wird, sondern es wird lediglich im Sy- GemaB einer weiteren vorteilhaften Ausgestaltung der Er- 

stem eine tJberprufung durchgefuhrt, die entweder zum Ab- findung werden bei Oberschreiten des oberen Grenzwertes 

bruch der Verbindung oder zur Zulassung des Teilnehmers einzelne oder alle Funktionen der Chipkarte blockiert, so 

zu den Netzdiensten fuhrt. 60 daB die Funklionsfahigkeit der Karte zumindest stark einge- 

Auch in einem derartigen Netz besteht die Gefahr, daB schrankt wird. 

durch Angriffe auf den Algorithmus, der zur Authentifizie- Alternativ oder zusatzlich kann bei Oberschreiten des 

rung verwendet wird, das Netzwerk beispielsweise in einem Grenzwertes an das Netzwerk oder eine entsprechende 

Computer simuliert werden kann, indem ausgewahlte "Zu- Netzwerkkomponente eine Information Ubermittelt werden, 

fallszahlen" nach dem standardisierten Protokoll an die 65 wodurch im Netzwerk die Funktionen der Karte (SIM) zu- 

SIM-Karte ubermittelt werden und daraus bei mehrfachen mindest iiberwacht werden konnen. Mit dieser Information 

Authentifizierungsversuchen der Geheimschlussel der Chip- konnen femer seitens des Netzwerkes bzw. der Netzwerk- 

karte ermittelt werden kann. Nach Ermittlung des geheimen komponente einzelne oder aile Funktionen der Karte ge- 
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spent werden. 

. Es ist femer vorteilhaft, in alien ATR-Berichten der Karte 
auf das Oberschreiten der oberen Grenze hinzuweisen. 

Insbesondere fiir den Fall, daB die obere Grenze fiir die 
zulassige Anzahl an Authentifizierungsverfahren mit hoher 
Wahrscheinlichkeit kleiner als die zu erwartende regulare 
Anzahl von Authentifizierungen ist, ist es vorteilhaft, einen 
altemati ven geheimen Schlussel in der Karte abzulegen. Bei 
Erreichen der oberen Grenze kann somit auf einen neuen 
Geheimschlussel umgestellt werden, wobei hierbei eben- 
falls ein neuer Zahler initiiert wird bzw. der Zahler riickge- 
setzt wird. 

Neben dem Umschalten auf einen weiteren geheimen 
Schliissel, kann ebenfalls eine neue IMSI selektiert werden, 
so daB nach Erreichen des oberen Grenzwertes auf ein neues 
IMSI/Schliissel-Paar zugegriffen wird. 

Insbesondere fiir SIMs, die iiber eine eigene Energiever- 
sorgung und damit iiber eine interne Zeitmessung verfugen 
k6nnen, kann es auch vorteilhaft sein, nach einer langeren 
Zeitdauer den Zahler zyklisch ruckzusetzen. 

Es kann weiterhin neben dem oberen Grenzwert ein zwei- 
ter Grenzwert vorgesehen werden, der unter dem oberen 
Grenzwert liegt. Damit ist die Moglichkeit gegeben, dem 
Netzwerk bereits vor Erreichen des oberen Grenzwertes 
eine Information zukommen zu lassen, die es dem Netz- 
werkbetreiber erlaubt, beispielsweise dem Benutzer recht- 
zeitig eine neue Karte auszustellen, wenn die Funktionen 
der im Gebrauch befindlichen aufgrund der Oberschreitung 
der zulassigen Anzahl an Authentifikationen in absehbarer 
Zeit gesperrt werden. 

Im folgenden wird die Erfindung beispielhaft anhand ei- 
nes Ausfiihrungsbeispiels gemaB den Fig, 1 und 2 beschrie- 
ben. 

Fig. 1 zeigt den Ablauf der kryptographischen Funktio- 
nen des SIM im GSM-Netz. 

Fig. 2 zeigt die fiir die Erfindung wesentlichen Elemente 
des SIM. 

In Fig. 1 ist der Datenaustausch zwischen der Chipkarte 
(SIM) und dem Netzwerk iiber die Luftschnittstelle darge- 
stellt. 

Bei der Fig. 1 wird vorausgesetzt, daB der ubliche Vor- 
gang der PIN-Verifizierung abgeschiossen ist. Im AnschluB 
an diese PIN-Verifizierung wird von mobilen Einheit, in der 
sich die Karte befindet, eine Nachricht an das Netzwerk ge- 
sendet, welche die IMSI (international mobile subscriber 
identity) bzw. TMSI (temporary mobile subscriber identity) 
enthalt. Aus der IMSI bzw. TMSI wird im Netzwerk nach 
einer vorgegebenen Funktion oder mittels einer Tabelle der 
geheime Schlussel Ki ermittelt, der in der Chipkarte (SIM) 
in einem nicht zuganglichen Speicherbereich abgelegt ist. 
Der geheime Schlussel wird fur die spatere Verifizierung des 
Authentifikationsvorganges benotigt. 

Vom Netzwerk wird der Authentifizierungsvorgang in- 
itialisiert, indem eine Zufallszahl (RAND) berechnet wird, 
die iiber die Luftschnittstelle in die Chipkarte (SIM) ubertra- 
gen wird. 

In der Chipkarte wird daraufhin mittels einer Authentisie- 
rungsfunktion aus dem geheimen Schlussel Ki und der Zu- 
fallszahl RAND das Authentisierungsergebnis SRES gebil- 
det, das iiber die Luftschnittstelle an das Netzwerk ubertra- 
gen wird. Im Netzwerk wird ebenfalls mittels der geheimen 
Funktion und der Zufallszahl RAND sowie dem geheimen 
Schlussel Kj ein Authentisierungsergebnis SRES' gebildet. 
Im Netzwerk findet weiterhin ein Vergleich der Authentisie- 
rungsergebnisse SRES und SRES' statt, wobei bei Gleich- 
heit der Authentifizierungsvorgang erfolgreich abgeschios- 
sen wird, wahrend bei Ungleichheit ein Abbruch der Verbin- 
dung vorgenommen wird, da sich die Karte des Teilnehmers 




nicht authentisiert hat. 

In der Chipkarte SIM wird gemaB der Erfindung entweder 
vor oder nach der Authentisierung der Zahlerstand eines 
Authentifikations-Zahlers erhohL Im AnschluB an die Zah- 
5 iererhohung wird in der Chipkarte SIM ein Vergleich des ak- 
tueilen Zahlerstandes mit dem oberen Grenzwert Z^, wel- 
cher die maximal zulassige Anzahl der Authentifizierungs- 
vorgange angibt, verglichen. Fiir den Fall, daB Z < Z^ ist, 
ktinnen im Netzwerk alle Dienste in Anspruch genommen 
werden, fur die der Benutzer autorisiert ist. Fur den Fall, daB 
der aktueile Zahlerstand Z den oberen Grenzwert 7^^ er- 
reicht oder iiberschritten hat, kann entweder chipkartensei- 
tig eine Sperrung SP der Chipkarte und damit der Netzwerk- 
funktionen eingeleitet werden oder es kann alternativ oder 
zusatzlich eine Nachricht Mess an das Netzwerk tibermittelt 
werden, woraufhin im Netzwerk verschiedene Aktionen 
eingeleitet werden konnen, wie beispielsweise die Oberer- 
wachung der SIM-Aktivitaten, das Nichtzulassen bestimm- 
ter Dienste im Netzwerk, oder die Sperrung der gesamten 
Dienste, die der Benutzer ublicherweise nach erfolgreicher 
Authentifizierung in Anspruch nehmen kann. 

Die Fig. 2 zeigt ein Ausfiihrungsbeispiel einer Chipkarte 
SIM, die eine Schnittsteile S zum Datenaustausch mit einem 
Mobilfunktelefon aufweist sowie einen Mikroprozessor up, 
der mit einem Zahler Z und einem Speicher M, M g verbun- 
den ist. Der Zahler Z kann im wesentlichen als Hardware- 
zahler ausgebildet sein oder er ist als Softwarezahler pro- 
grammiert Der Speicher ist unterteilt in den iiblichen Spei- 
cherbereich M, in dem Daten ausgelesen und eingeschrieben 
werden konnen und in den geheimen Speicherbereich Mg, in 
dem zumindest der geheime Schlussel IQ sowie der Authen- 
tisierungsalgorithmus abgelegt sind. Wenn iiber die Schnitt- 
steile S die Zufallszahl RAND erhalten wird, initiiert der 
Mikroprozessor uP zum einen die Erhohung des Zahlers Z 
sowie den Vergleich des aktuellen Zahlerstands mit der obe- 
ren Grenze und zum anderen wird aus dem geheimen 
Speicherbereich M g der geheime Schliissel K\ sowie der Al- 
gorithmus geladen, urn die Authentifizierungs-Berechnung 
durchzufiihren und das Ergebnis SRES zu erhalten. 

Patentanspriiche 

1. Verfahren zum Schutz vor Angriffen auf den Au- 
thentifizierungsalgorithmus bzw. den Geheimschlussel 
(KO einer Chipkarte (SIM) in einem Netzwerk zur 
Nachrichtenubertragung, vorzugsweise in einem 
GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmus sowie ein geheimer Schlussel (IQ) gespei- 
chert ist, wobei zur Authentifizierung 

- zunachst vom Netzwerk oder einer Netzwerk- 
komponente eine Zufallszahl (RAND) an die 
Chipkarte iibertragen wird, 

- in der Chipkarte mittels des Algorithmus, der 
Zufallszahl (RAND) und des geheimen Schlussels 
(KO ein Antwortsignal (SRES) erzeugt wird, das 
an das Netzwerk bzw. die Netzwerkkomponente 
iibermittelt wird, urn dort die Authentizitat der 
Karte (SIM) zu uberpriifen, 
dadurch gekennzeichnet, daB 

- ein Zahler (Z) zur Aufzeichnung der Anzahl der 
insgesamt mit der Karte durchgefiihrten Authenti- 
fikationsvorgange vorgesehen ist, 

- ein oberer Grenzwert (Z^) fur die Anzahl der 
insgesamt mit der Karte durchzufuhrenden Au- 
thentifikationsvorgange vorgegeben wird, und 

- bei jeder Authentifikation der Zahler (Z) erhoht 
und mit dem vorgegebenen oberen Grenzwert 
(Zra«) verglichen wird. 
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2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB der obere Grenzwert (Zmax) boner liegt als die 
geschatzte, mit einer Karte durchgefuhrte Anzahl an 
Authentifikationen und niedriger liegt als die zu erwar- 
tende Anzahl der fiir die Ermittlung des geheimen 5 
Schliisseis notwendigen Authentifizierungsvoigange. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahler (Z) in der Chipkarte imple- 
mentierl ist und der Vergleich des aktuellen Zahlerstan- 
des mit dem oberen Grenzwert (Z^) in der Chipkarte 10 
durchgefuhrt wird. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB der Zahler in einer Netzwerkkomponente 
implementiert ist und der Vergleich des aktuellen Zah- 
lerstandes mit dern oberen Grenzwert (Zmax) in einer is 
Netzwerkkomponente durchgefuhrt wird. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB bei Oberschreiten des obe- 
ren Grenzwertes (Z^ einzelne oder alle Funktionen 
der Chipkarte (SIM) biockiert werden. 20 

6. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB bei Oberschreiten des vor- 
gegebenen oberen Grenzwertes (Zmax) an das Netz- 
werk oder eine Netzwerkkomponente eine Information 
iibermittelt wird und das Netzwerk infolge dieser Infor- 25 
mation die Aktivitaten der Chipkarte (SIM) uberwacht 

7. Verfahren nach Anspruch 6, dadurch gekennzeich- 
net, daB das Netzwerk eine Anfrage initiiert, gemafi der 
die Funktionen der Chipkarte geloscht oder einge- 
schrankt werden. 30 

8. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB nach Erreichen des oberen 
Grenzwertes (Zmax) in alien Answer to Reset-(AFR- 
)Berichten ein Hinweis erzeugt wird, daB der Zahler 
seinen Hochststand erreicht hat. 35 

9. Verfahren nach einem der vorhergehenden Ansprii- 
che 1 bis 8, dadurch gekennzeichnet, daB bei Erreichen 
des oberen Grenzwertes (Z^^ des Zahlers das Netz- 
werk oder die Chipkarte (SIM) das Umschalten auf ei- 
nen alternative^ in der Chipkarte abgelegten, Geheim- 40 
schliissel (KO initiiert. 

10. Verfahren nach einem oder mehreren der Ansprii- 
che 1 bis 9, dadurch gekennzeichnet, daB nach Errei- 
chen des Hochststandes des Zahlers (Z) auf ein alterna- 
tives IMSI/geheimes Schliissel-Paar umgestellt wird. 45 

1 1. Verfahren nach einem der Anspriiche 1 bis 10, da- 
durch gekennzeichnet, daB der Authentifikations-Zah- 
ler nach einer vorgegebenen Zeit zuriickgesetzt wird. 

12. Verfahren nach einem der Anspriiche 1 bis 11, da- 
durch gekennzeichnet, daB neben dem oberen Grenz- 50 
wert (Zmax) ein zweiter Grenzwert vorgegeben wird, 
der unterhalb des oberen Grenzwertes liegt, und bei 
dessen Erreichen ein Signal an das Netzwerk gesendet 
wird, in dem auf das nahende Erreichen des oberen 
Grenzwertes (Z^ hingewiesen wird. 55 
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